of 25
7/24/2019 Seguridad en Telecomunicaciones e Internet
1/25
UNIDAD 4 SEGURIDAD EN TELECOMUNICACIONES E INTERNET
OBJETIVOS PARTICULARES DE LA UNIDAD
Al trmino de la unidad, el alumno:
Explicar la importancia de tener un esquema de seguridad en lainfraestructura de redes y telecomunicaciones.
Identificar los aspectos que deben de ser sujetos de seguridad. Describir algunas de las tecnologas de seguridad implicada en este
tema de actualidad.
4.1 GENERALIDADES DE TELECOMUNICACIONES Y VULNERABILIDADESEN TCP/IP
Equipos y topologas de red!odems, repetidores, s"itc#, #ubs, bridges, routers, gate"ays, $A% &bus,ring, star', !A%, (A%, Interconnected net"or)s &enlaces dedicados,enlaces *irtuales, tunneling, fire"alls, Internet'
!edios de transmission- +"isted pair, baseband broadband coaxial cable, fibra -ptica, radio
transmission, micro"a*e transmission, cellular radio, satellite.- and"idt#, delay, cost, installation and maintenance.
/rotocolos- 0.12, 0.32 &orientado a conexi-n'- I/, 4$I/, ///, +5/67D/, 4%A64D$56DI5, I4D%, 58A/, /A/, A9/,
I5!/, rame delay, &conexi-n y no conexi-n' !odelo I4;6;4I- IEEE estndar s y !A%>s
&et#ernet.?, to)en ring.2, !A%.@'
Seguridad en redes y telecomunicaciones
Aspectos generales
/roteger #ost y los ser*icios que se proporcionan en la red. Autenticaci-n &pass"' y autenticaci-n mutua &emisor y receptor' 5ontrol de acceso a los recursos 5onfidencialidad, Integridad y Disponibilidad !edidas de encripci-n para aumentar 5IA &confidentiality, integrity and
a*ailability'
7/24/2019 Seguridad en Telecomunicaciones e Internet
2/25
9esponsabilidad &quin, cundo, c-mo, d-nde, periodicidad'
Quin es el responsable?
Empleados
8ac)ers &curiosos, *ndalos y criminales' ;peradores de telfono 5riminales de c-mputo profesionales
I/
$a parte fundamental de los ser*icios ofrecidos por Internet consiste en el sistemade entrega de paquetes. Este ser*icio est definido como:
%o confiable!ejor esfuerBo
4in conexi-n
El protocolo que define los mecanismos de entrega poco confiable y sin conexi-nse conoce como /rotocolo Internet &I/'.
+5/ &+ransmisi-n 5ontrol /rotocol'
Es un protocolo de transporte de prop-sito general, puede ser usado sobrecualquier sistema de entrega de paquetes, no necesariamente sobre I/. +5/ nosupone caractersticas de la red subyacente.
+5/6I/
4uite de protocolos de comunicaciones para redes de tipo abierto utiliBados en unmodelo de C capas desarrollado por la Ad*anced 9esearc# /rojects Agency delDoD y tomando como referencia el modelo ;4I.
4.2 INTERNET/EXTRANET/INTRANET
Dispositi*os de conecti*idad en las comunicaciones
9epeaters. Amplificador para cuando se excede la mxima distancia fsicade alcance de las seales.
8ubs. /ermite enlaBar entre segmentos de conexi-n de una red.
7/24/2019 Seguridad en Telecomunicaciones e Internet
3/25
ridges. EnlaBa y direcciona o filtra de un segmento a otro de la red losdatos, adems sir*e para balancear la sobrecarga en los segmentos de lared.
!ultiplexores. 7ne *arias seales para ocupar el mismo canal detransmisi-n.
9outers. 5onecta dos o ms redes separadas l-gicamente
Arquitectura Internet
$os procesos tienen puertos: la combinaci-n de un puerto ID y el I/ destino&address' del #ost es un 4oc)et: las conexiones son un set de soc)et>s.
Algunos ejemplos son: puertos +E$%E+, +/, +5/, 7D/.
/rotocol 9elations#ip +ables son los diferentes ser*icios que dan los protocolos y
en que puertos se realiBan.
Caractersticas de Internet
9ed de redes +opologa mundial &malla' roadcast pac)ets"itc#ed /eer connected &interconexi-n entre capas' 5onexi-n de cualquieraF con cualquieraF &no restricci-n' Interoperatibilidad en incremento
Autoridad %; centraliBada
SEGURIDAD EN INTERNET.
El fen-meno de la extensi-n de la Internet #a adquirido una *elocidad tan rpida yunas proporciones, que el panorama actual y muc#os de los efectos que se danen su seno resultan sorprendentes y difcilmente imaginables #ace s-lo unadcada.
Inicialmente Internet nace como una serie de redes que promue*en el intercambiode informaci-n entre in*estigadores que colaboran en proyectos conjuntos ocomparten resultados usando los recursos de la red. En esta etapa inicial, lainformaci-n circulaba libremente y no exista una preocupaci-n por la pri*acidadde los datos ni por ninguna otra problemtica de seguridad. Estaba totalmentedesaconsejado usarla para el en*o de documentos sensibles o clasificados quepudieran manejar los usuarios, situaci-n esta muy comGn, pues #ay que recordarque la Internet nace como un contrato del Departamento de Defensa Americanoao H@
7/24/2019 Seguridad en Telecomunicaciones e Internet
4/25
In*estigaci-n que colaboran de una manera u otra con las uerBas Armadas%orteamericanas.
$os protocolos de Internet fueron diseados de una forma deliberada para quefueran simples y sencillos. El poco esfuerBo necesario para su desarrollo y*erificaci-n jug- eficaBmente a fa*or de su implantaci-n generaliBada, pero tantolas aplicaciones como los ni*eles de transporte carecan de mecanismos deseguridad que no tardaron en ser ec#ados en falta.
!s recientemente, la conexi-n a Internet del mundo empresarial se #a producidoa un ritmo *ertiginoso muy superior a la difusi-n de ninguna otra tecnologaanteriormente ideada. Ello #a significado que esta red de redes se #aya con*ertidoen Jla redJ por excelencia. Esto es, el medio ms popular de interconexi-n derecursos informticos y embri-n de las anunciadas autopistas de la informaci-n.
4e #a incrementado la *ariedad y cantidad de usuarios que usan la red para finestan di*ersos como el aprendiBaje, la docencia, la in*estigaci-n, la bGsqueda de
socios o mercados, la cooperaci-n altruista, la prctica poltica o, simplemente, eljuego. En medio de esta *ariedad #an ido aumentando las acciones pocorespetuosas con la pri*acidad y con la propiedad de recursos y sistemas. Hackers,frackers, crakers...y dems familias #an #ec#o aparici-n en el *ocabularioordinario de los usuarios y de los administradores de las redes.
$a propia complejidad de la red es una dificultad para la detecci-n y correcci-n delos mGltiples y *ariados problemas de seguridad que *an apareciendo. Adems delas tcnicas y #erramientas criptogrficas antes citadas, es importante recalcarque una componente muy importante para la protecci-n de los sistemas consisteen la atenci-n y *igilancia continua y sistemtica por parte de los gestores de lared. 5omo ejemplo, en la tabla ms abajo se recoge una lista ex#austi*a deproblemas detectados, extrada del libro: "Firewalls and Internet Security. (...)".
LISTA DE PELIGROS MS COMUNES EN SISTEMAS CONECTADOS A INTERNET
Fuene!"Firewalls and Internet Security !epelling te #ily $ac%er"
1." De todos los problemas, el mayor son los fallos en el sistema de pass"ords.
2."$os sistemas basados en la autenticaci-n de las direcciones se puedenatacarusando nGmeros consecuti*os.
#." Es fcil interceptar paquetes 7D/.
4."$os paquetes I5!/ pueden interrumpir todas las comunicaciones entre dosnodos.
$." $os mensajes I5!/ 9edirect pueden corromper la tabla de rutas.
7/24/2019 Seguridad en Telecomunicaciones e Internet
5/25
%."El encaminamiento esttico de I/ puede comprometer la autenticaci-n basadaen las direcciones.
&." Es fcil generar mensajes 9I/ falsos.
'." El rbol in*erso del D%4 se puede usar para conocer nombres de mquinas.
(."7n atacante puede corromper *oluntariamente la cac# de su D%4 para e*itarresponderpeticiones in*ersas.
1)." $as direcciones de *uelta de un correo electr-nico no son fiables.
11." El programa sendmail es un peligro en s mismo.
12." %o se deben ejecutar a ciegas mensajes !I!E.
1#." Es fcil interceptar sesiones +elnet.
14." 4e pueden atacar protocolos de autenticaci-n modificando el %+/.
1$." inger da #abitualmente demasiada informaci-n sobre los usuarios.
1%." %o debe confiarse en el nombre de la mquina que aparece en un 9/5.
1&."4e puede conseguir que el encargado de asignar puertos I/ ejecute 9/5 en
beneficio de quien le llama.
1'."4e puede conseguir, en muc#simos casos, que %I4 entregue el fic#ero depass"ords al exterior.
1(." A *eces es fcil conectar mquinas no autoriBadas a un ser*idor %I4.
2)." Es difcil re*ocar derec#os de acceso en %4.
21." 4i est mal configurado, el ++/ puede re*elar el 6etc6pass"d.
22." %o debe permitirse al ftp escribir en su directorio raB.
2#." %o debe ponerse un fic#ero de pass"ords en el rea de ftp.
24."A *eces se abusa de 4/, y se acaba dando acceso a fic#eros a quien no sedebe dar.
2$." El formato de informaci-n de ((( debe interpretarse cuidadosamente.
7/24/2019 Seguridad en Telecomunicaciones e Internet
6/25
2%." $os ser*idores ((( deben tener cuidado con los punteros de fic#eros.
2&." 4e puede usar ftp para crear informaci-n de control del gop#er.
2'."7n ser*idor ((( puede *erse comprometido por un script interrogati*opobremente escrito.
2(." El !one se puede usar para atra*esar algunos tipos de cortafuego.
#)."Desde cualquier sitio de la Internet se puede intentar la conexi-n a unaestaci-n 0HH &04er*er'.
#1." %o se debe confiar en los nGmeros de puerto facilitados remotamente.
#2." Es casi imposible #acer un filtro seguro que deje pasar la mayora del 7D/.
##." 4e puede construir un tGnel encima de cualquier transporte.
#4."7n cortafuego no pre*iene contra ni*eles superiores de aquellos en los queactGa.
#$." $as 0HH son muy peligrosas incluso a tra*s de una pasarela.
#%."
$as #erramientas de monitoriBaci-n de red son muy peligrosas si alguien
accedeilegtimamente a la mquina en que residen.
#&." Es peligroso #acer peticiones de finger a mquinas no fiables.
#'."4e debe de tener cuidado con fic#eros en reas pGblicas cuyos nombrescontengan caracteres especiales.
#(." $os caza-passwordsactGan silenciosamente.
4)." 8ay muc#as maneras de conseguir copiar el 6etc6pass"ord
41."9egistrando completamente los intentos fallidos de conexi-n, se capturanpass"ords.
42."7n administrador puede ser considerado responsable si se demuestraconocimientoo negligencia de las acti*idades de quien se introduce en sus mquinas.
7/24/2019 Seguridad en Telecomunicaciones e Internet
7/25
A la #ora de plantearse en que elementos del sistema se deben de ubicar losser*icios de seguridad podran distinguirse dos tendencias principales:
P*+e,,-n e 0+ -e3 e *3ne*en,-3 + *3n5+*e.En este caso,el administrador de un ser*icio, asume la responsabilidad de garantiBar latransferencia segura de la informaci-n de forma bastante transparente alusuario final. Ejemplos de este tipo de planteamientos seran elestablecimiento de un ni*el de transporte seguro, de un ser*icio demensajera con !+As seguras, o la instalaci-n de un cortafuego, &fire"all',que defiende el acceso a una parte protegida de una red.
A50-,3,-+ne e6u*3 e7*e+ 3 e7*e+. 4i pensamos por ejemplo encorreo electr-nico consistira en construir un mensaje en el cual encontenido #a sido asegurado mediante un procedimiento de encapsuladopre*io al en*o, de forma que este mensaje puede atra*esar sistemas#eterogneos y poco fiables sin por ello perder la *alideB de los ser*icios deseguridad pro*istos. Aunque el acto de securiBar el mensaje cae bajo la
responsabilidad del usuario final, es raBonable pensar que dic#o usuariodeber usar una #erramienta amigable proporcionada por el responsable deseguridad de su organiBaci-n. Este mismo planteamiento, se puede usarpara abordar el problema de la seguridad en otras aplicaciones tales como*ideoconferencia, acceso a bases de datos, etc.
En ambos casos, un problema de capital importancia es la gesti&n de cla'es.Este problema es in#erente al uso de la criptografa y debe estar resuelto antes deque el usuario est en condiciones de en*iar un solo bit seguro. En el caso de lascla*es secretas el problema mayor consiste en mantener su pri*acidad durante sudistribuci-n, en caso de que sea ine*itable su en*o de un punto a otro. En el casode cla*e pGblica, los problemas tienen que *er con la garanta de que pertenecena su titular y la confianBa en su *igencia &que no #aya caducado o sido re*ocada'.7na manera de abordar esta gesti-n de cla*es est basada en el uso de los5ertificados de 5la*e /Gblica y Autoridades de 5ertificaci-n. El problema de la*igencia de la cla*e se resuel*e con la generaci-n de $istas de 5ertifados9e*ocados &59$s' por parte de las 5As.
4.# REDES VIRTUALES PRIVADAS
7na 9ed Kirtual /ri*ada &K/% Kirtual /ri*ate %et"or)' es aquella red pri*adaconstruida sobre una red pGblica. $as raBones que empujan el mercado en esesentido son, fundamentalmente de costes: resulta muc#o ms barato interconectardelegaciones utiliBando una infraestructura pGblica que desplegar una redfsicamente pri*ada. En el otro extremo, por supuesto, es necesario exigir ciertoscriterios de pri*acidad y seguridad, por lo que normalmente debemos recurrir aluso de la criptografa.
En general existen dos tipos de redes pri*adas *irtuales:
7/24/2019 Seguridad en Telecomunicaciones e Internet
8/25
Enlaces 5liente9ed:
En estos enlaces se encapsula, tpicamente, /// &/ointto/oint /rotocol'.$as tramas del cliente se encapsulan en ///, y el /// resultante seencapsula para crear el K/%. 4e emplean, entre otras muc#as cosas, para:
o Acceso seguro de un cliente a la red.
o 5lientes m-*iles ¶ independiBarlos de la topologa fsica'.
o /untos de acceso remoto. /or ejemplo, un JpoolJ de m-dems en otraciudad, o clientes nuestros entrando por otro I4/.
o 9utado de tramas no utiliBables en Internet. /or ejemplo, tramas%etE7I, I/0, 4%A o DE5%E+.
Enlaces 9ed9ed:
En estos casos se est encapsulando el trfico de una red local, por lo quenos a#orramos el paso /// anterior. $as tramas de la $A% se encapsulandirectamente para crear el K/%. 4e utiliBa para:
o undir dos redes locales a tra*s de Internet, para que pareBcan unasola.
o Establecer canales con pri*acidad, autenticidad y control deintegridad, entre dos redes independientes.
o 9utado de tramas no utiliBables en Internet. /or ejemplo, tramas%etE7I, I/0, 4%A o DE5%E+.
$a gran *entaja de este sistema es que simplemente con un acceso local aInternet &desde cualquier pais' y una correcta configuraci-n se podran conectar anuestro ser*idor de %+, 1=== o 0/ ser*er a un coste muy bajo utiliBando modem ya coste = si tenemos una tarifa plana.
/ongamos por ejemplo una conexi-n en Espaa entre 1 delegaciones, la dearcelona y la de !adrid. 5on una punto a punto sobre 9D4I pagaramos @C===pts.6mes por @C )bps de anc#o de banda. 4-lo por unir las dos delegaciones, lasconexiones a Internet seran aparte, adems la llamada es de un punto a otro &noes bidireccional'.
5rear una K/% es relati*amente fcil pero #ay que tener en cuenta una serie deobser*aciones como si tenemos un router AD4$ para acceso corporati*o, o sitenemos un modem conectado a un pc y sobre todo el sistema operati*o delser*idor y de los clientes.
ftp://ftp.rediris.es/docs/rfc/16xx/1661ftp://ftp.rediris.es/docs/rfc/16xx/16617/24/2019 Seguridad en Telecomunicaciones e Internet
9/25
Dado que la configuraci-n que est teniendo mas fuerBa es la de tener un routerpara que de acceso a Internet a todos los ordenadores de la red, nos centraremosen esta.
E*identemente toda la teora e implementaci-n de K/%s tambin funciona sobrerouters 9D4I con acceso a Internet, los agujeros a crear en el router son losmismos.
En primer lugar tenemos que crear dos agujeros en unos puertos de estos routers,esto es necesario ya que las redes pri*adas *irtuales generan peticiones deentrada y salida sobre los puertos y adems le tenemos que decir al router a queordenador local tiene que redireccionar estas peticiones. El router al conectarse aInternet recibe una I/ del pro*eedor de acceso, en cambio a ni*el local tiene un I/reser*ada para redes locales, por lo que el router tiene que saber a que ordenadorlocal tiene que reen*iar los paquetes que lleguen con una petici-n a los puertos
4.4 SEGURIDAD EN CAPAS DE RED Y TRANSPORTE
4EL79IDAD A %IKE$ 9ED
4eguridad en I/
I/ carece de mecanismos para pro*eer autenticaci-n, integridad yconfidencialidadM I/ busca adoptar los principios establecidos por ;4I &3C
7/24/2019 Seguridad en Telecomunicaciones e Internet
10/25
%$4/ &5apa ?'
4EL79IDAD A %IKE$ +9A%4/;9+E
44$ &4ecure 4oc)ets $ayer'
Es una propuesta de estndar para encriptado y autenticaci-n en el (ebM es unesquema de encriptado de bajo ni*el usado para encriptar transacciones enprotocolos de ni*el aplicaci-n como #ttp. +/, etc.
5on 44$ puede autentificarse un ser*idor con respecto a su cliente y *ice*ersa.
5aractersticas:
- 4e basa en un esquema de lla*e pGblica para el intercambio della*es de sesi-n.
- $as lla*es de sesi-n son usadas para encriptar las transaccionessobre #ttp
- 5ada transacci-n usa una lla*e de sesi-n. Esto dificulta al crac)erFel comprometer toda una sesi-n.
;bjeti*os de 44$:
H. 4eguridad criptogrfica. 4e sugiere el uso de 44$ para establecerconexiones seguras entre dos partes.
1. Interoperabilidad. /rogramadores independien*tes deben poder desarrollaraplicaciones basadas en 44$, que intercambien parmetros criptogrficossin tener conocimiento de los c-digos de los programas de cada uno.
7/24/2019 Seguridad en Telecomunicaciones e Internet
11/25
?. Extensibilidad. 44$ pro*ee un marco donde pueden incorporarse mtodscriptogrficos segGn se necesite. Esto e*ita el problema de estar creandonue*os protocolos, as como nue*as libreras de seguridad.
C. Eficiencia 9elati*a. /uesto que las operaciones criptogrficas demandan
demasiado 5/7, el protocolo 44$ incorpora un esquema opcional decac#ingF, que reduce el nGmero de conexiones que deben establecersedesde inicio. Adems se #a tomado en cuenta el reducir en lo posible laacti*idad de la red.
/rotocolo 44$
El estndar de IE+ +ransport $ayer 4ecurityF &+$4' se basa en 44$M requiere untransporte confiable, pro*ee seguridad en el canal.
4e ubica:
Existen dos subprotocolos:
- 44$ record protocol. Define los formatos de los mensajes empleadosen 44$. Existen dos formatos principales: 9ecord 8eader ormat y9ecord Data ormat &donde se encapsulan los datos a en*iar'
- 44$ #ands#a)e protocol. Autentifica al ser*idor para el cliente,permite al cliente y ser*idor seleccionar algoritmos criptogrficos quesean soportados por ambos, opcionalmente autentifica al cliente parael ser*idor, usa criptografa de lla*e pGblica para generar secretoscompartidos y establece una conexi-n 44$ encriptada.
4.$ PROTOCOLOS DE SEGURIDAD A NIVEL APLICACI8N
4E+ &4ecure Electronic +ransactions'
4E+ #ace seguras las transacciones en lnea mediante el uso de certificadosdigitalesM con 4E+ se puede *erificar que tanto clientes como *endedores estn
APLICACIN
SSL
TCP/IP
7/24/2019 Seguridad en Telecomunicaciones e Internet
12/25
autoriBados para realiBar o aceptar un pago electr-nico, fue desarrollado por Kisay !aster 5ard.
ANLSIS DE LOS NIVELES DE SEGURIDAD
NIVEL D1
El ni*el DH es la forma ms elemental de seguridad disponible. Esteestndar parte de la base que asegura, que todo el sistema no es confiable. %o#ay protecci-n disponible para el #ard"are, el sistema operati*o se comprometecon facilidad, y no #ay autenticidad con respecto a los usuarios y sus derec#o,para tener acceso a la informaci-n que se encuentra en la computadora. Esteni*el de seguridad, se refiere por lo general a los sistemas operati*os como !4D;4, !4(indo"s y 4ystem 3.x de Apple !acintos#.NIVEL C1
El ni*el 5H tiene dos subni*eles de seguridad 5H y 51. El ni*el 5H, o sistema deprotecci-n de seguridad discrecional, describe la seguridad disponible en unsistema tpico 7%I0. Existe algGn ni*el de protecci-n para el #ard"are, puestoque no puede comprometerse tan fcil, aunque toda*a es posible.$os usuarios debern identificarse as mismos con el sistema por medio de unnombre de usuario y una contrasea. Esta combinaci-n se utiliBa para determinarque derec#os de acceso a los programas e informaci-n tiene cada usuario. Estosderec#os de acceso son permisos para arc#i*os y directorios. Estos controles deacceso discrecional, #abilitan al dueo del arc#i*o o directorios, o al administradordel sistema, a e*itar que algunas personas tengan acceso a los programas iinformaci-n de otras personas. 4in embargo, la cuenta de administraci-n delsistema no est restringida a realiBar cualquier acti*idad.En consecuencia, un administrador del sistema sin escrGpulos, puedecomprometer con facilidad la seguridad del sistema sin que nadie se entere.
NIVEL C2
El ni*el 51, fue diseado para ayudar a solucionar tales #ec#os. Nuntoscon las caractersticas de 5H, el ni*el 51 incluye caractersticas de seguridadadicional, que crean un medio de acceso controlado. Este medio tiene lacapacidad de reforBar las restricciones a los usuarios en la ejecuci-n de algunoscomandos o el acceso a algunos arc#i*os, basados no solo en permisos si no enni*eles de autoriBaci-n. Adems la seguridad de este ni*el requiere auditorias delsistema.
Esto incluye a la creaci-n de un registro de auditoria para cada e*ento queocurre en el sistema. $a auditoria se utiliBa para mantener los registros de todoslos e*entos relacionados con la seguridad, como aquellas acti*idades practicadaspor el administrador del sistema. $a auditoria requiere de autenticaci-n adicional.
7/24/2019 Seguridad en Telecomunicaciones e Internet
13/25
$a des*entaja es que requiere un procesador adicional y recursos de discos delsubsistema.
5on el uso de las autoriBaciones adicionales, no deben confundirse con lospermisos 4LID O 47ID, que se pueden aplicar a un programa, en cambio, estasson autoriBaciones especficas que permiten al usuario ejecutar comandos
especficos o tener acceso a las tablas de acceso restringido.
NIVEL B1
En ni*el de seguridad tiene tres ni*eles. El H, o protecci-n de seguridadetiquetada, es el primer ni*el que soporta seguridad multini*el, como la secreta yla ultrasecreta. Este ni*el parte del principio de que un objeto bajo control deacceso obligatorio, no puede aceptar cambios en los permisos #ec#os por eldueo del arc#i*o.
NIVEL B2
El ni*el 1, conocido como protecci-n estructurada, requiere que seetiquete cada objeto, los dispositi*os como discos duros, cintas, terminales, etc.podrn tener asignado un ni*el sencillo o mGltiple de seguridad. Este es el primerni*el que empieBa a referirse al problema de un objeto a un ni*el ms ele*ado deseguridad en comunicaci-n con otro objeto a un ni*el interior.
NIVEL B#
El ni*el ?, o el ni*el de demonios de seguridad, refuerBa a los demonios conla instalaci-n de #ard"are. /or ejemplo, el #ard"are de administraci-n dememoria se usa para proteger el dominio de seguridad de acceso noautoriBado, o la modificaci-n de objetos en diferentes dominios de seguridad.Este ni*el requiere que la terminal del usuario conecte al sistema, por mediode una ruta de acceso segura.
NIVEL A
El ni*el A, o ni*el de diseo *erificado, es #asta el momento el ni*el msele*ado de seguridad *alidado por el libro naranja. Incluye un proceso ex#austi*ode diseo, control y *erificaci-n. /ara lograr este ni*el de seguridad, todos loscomponentes de los ni*eles inferiores deben incluirse, el diseo requiere ser*erificado en forma matemtica, adems es necesario realiBar un anlisis de loscanales encubiertos y de la distribuci-n confiable.
4.% ATA9UES DE REDES Y MEDIDAS PREVENTIVAS
7/24/2019 Seguridad en Telecomunicaciones e Internet
14/25
Desgraciadamente, el incremento en el uso de Internet tambin incluye aindi*iduos con falta de #onestidad y sin tica profesional &crac)ers' que en unmomento dado pueden comprometer la integridad y la pri*acidad de lainformaci-n.
7ns pro*ea las fuentes de programas que lo componen. Esto permita recopilar*ersiones modificadas de dic#os programas, pudiendo introducirse con ellocaballos de troya o *irus. Internet pro*ee muc#as formas de conectar dos sistemasentre s, algunas de stas conexiones pueden ser no deseadas. Dada la granfacilidad de interconexi-n brindada, es necesario contar con una administraci-n deseguridad rigurosa.
5lasificaci-n de los ataques:
H. Ataques acti*osEn un ataque acti*o, el intruso interfiere con el trfico legtimo que fluye atra*s de la red interactuando de manera engaosa con el protocolo decomunicaci-n
1. Ataque /asi*o7n ataque pasi*o es aquel en el cual el intruso monitorea el trfico de la redpara capturar contraseas u otra informaci-n para su uso posterior.
4niffers:
Este programa puede colocarse en una pc en una $A% o en un gate"ay, pordonde pasan los paquetes. El sniffer *a leyendo los mensajes que pasan por estosdispositi*os y graba la informaci-n en un arc#i*o. En los primeros mensajes deuna conexi-n se encuentran los pass"ords, normalmente sin cifrar.
4nooping:
Es la tcnica de bajar los arc#i*os desde un sistema al sistema #ac)er.
4poofing:
5onsiste en entrar a un sistema #acindose pasar por un usuario autoriBado. 7na*eB dentro del sistema, el atacante puede ser*irse de ste como plataforma paraintroducirse en otro y as sucesi*amente.
looding o Namming:
7/24/2019 Seguridad en Telecomunicaciones e Internet
15/25
5onsiste en inundar un equipo con tanta cantidad de mensajes que ste secolapsa. %o le queda espacio libre en la memoria o en el disco. El ataque tipofloofing ms conocido es el 4O% attac).
A9/&8ades 9esolution /rotocol'/ermite obtener la direcci-n fsica de una mquina a partir de su direcci-n I/.
/rotocolo I5!/ &Internet 5ontrol !essage /rotocol'
/ermite a ruteadores y ser*idores reportar errores o informaci-n de control sobrela redM reporta errores como: expiraci-n de ++$, congesti-n, direcci-n I/ destinono alcanBable, etcM *iaja encapsulado en el rea de datos de un datagrama I/.
!ensajes I5!/ ms comunes
T-5+ De,*-5,-n= Ec#o replay? Destination 7nreac#ableC 4ource Puenc#2 9edirect &cambio de ruta'< Ec#o 9equest
HH +ime Exceded for 1 DatagramH1 /arameter /roblem on a DatagramH? +imestamp 9equestHC +imestamp 9eplay
7/24/2019 Seguridad en Telecomunicaciones e Internet
16/25
!ensaje I5!/ 5ambio de 9uta
7tiliBado por un ruteador para indicarle a una mquina en su segmento que utiliceuna nue*a ruta para determinados destinos.
Discusi-n Ataques A9/ e I5!/
El ataque A9/ es considerado como un ataque tri*ial. El ataque I5!/ es considerado como un ataque difcil de implementar.
9equisito obser*ado: la direcci-n I/ fuente del datagrama sobre el cual *iaja elmensaje I5!/, debe ser igual a la direcci-n I/ de cualquier ruteador en la tabla deruteo de la mquina *ctima.
!ecanismos de protecci-n
4e recomienda la utiliBaci-n del sistema arp"atc# desarrollado por el $aboratorio$a"rence er)eleyM adems de monitoreo continuo del trfico de la red paradetectar inconsistencias en las parejas &dir I/, dir fsica' de los paquetes.
4murfing
Ataque pasi*o que afecta, principalmente a la disponibilidad de los equipos. 4e lle*a &ba' a cabo principalmente en ruteadores 5isco y probablemente
en otras marcas.
7/24/2019 Seguridad en Telecomunicaciones e Internet
17/25
4.& MONITORES DE REDES Y SNIFFERS
: 9u; e un Sn-e* < : 9u; e un 3n30-=3+* e 5*++,+0+
7/24/2019 Seguridad en Telecomunicaciones e Internet
18/25
9u-e*+ 3* 3,,e+ 3 - *e ?3 +e. : Pueen 0ee* 03 -n+*3,-n >ue,-*,u03 5+* - *e ee,u3n+ un n-e* 30 +*+ 03+ e 03 0ne3 < Depende de c-mo se configure la conexi-n.
En este caso tendrs que engaar al router para que crea que las direcciones quese asignan para acceso telef-nico pertenecen a tu misma red. 4i tienes &un pocode' cuidado al configurar la mquina que controla estos #osts remotos nodeberas tener ningGn problema, ya que las tramas que se en*iarn a estasmquinas sern Gnicamente aquellas que les corresponda recibir.
5asi siempre los pro*eedores de acceso a internet &5omo Info*a en Espaa,Infosel en !xico o similares' interponen entre tu red y el usuario remoto una seriede mecanismos &routers y conexiones punto a punto' que #acen inefecti*o el usoun 4niffer en la mquina remota.
: C+ 5ue+ 3e* - 3 306u-en ,+**-en+ un n-e* en - *e
7/24/2019 Seguridad en Telecomunicaciones e Internet
19/25
sniffit:Difcil de encontrar Y *erdad Z M'#ttp:66reptile.rug.ac.be6[coder6sniffit.#tmltambin en #ttp:66""".iti.up*.es6seguridad6
tcpdump:7%I0Este programa *uelca toda la informaci-n que entra o sale de la tarjeta de red.8ay una *ersi-n disponible para 45; en#ttp:66unix.#ensa.ac.u)6ftp6mirrors6uunet6scoarc#i*e6+$46 &esta puede ser unabuena ocasi-n para comprobar la compatibilidad binaria con ejecutables de 45;'.
esniff.c:/ublicado en /#rac) \C2Esta es la madre de todos los sniffers. $a mayora de los que se #icieron despus#an estado basados en este programa para 4un;4 ¬a: necesita una mquinacon 6de*6nit'.
u!!ernault:
/ublicado en /#rac) !agaBine \2=Ademas de actuar como sniffer, puede tomar conexiones suplantando a otros#osts.
etload.e#e y etdump.e#e&D;4': Y ftp.cdrom.com Z4e #an utiliBado especialmente para estadsticas de trfico en $A% &et#ernet, porsupuesto M'. /roblema: El D;4 no permite multitareaM por lo que si no tenemos un?
7/24/2019 Seguridad en Telecomunicaciones e Internet
20/25
H] de las intercepciones se realiBan en el lugar de destino de la comunicaci-n&esta tcnica es muy rara pues requiere filtrados y costos muy ele*ados'.
/uede ser que usted no est solo en la lnea telef-nica^ El espionaje industrial,fraude financiero, ri*alidades comerciales, asuntos de seguridad nacional y aun lasin*estigaciones sobre asuntos personales ocurren todos los das. $a porci-n ms*ulnerable de la red telef-nica es el laBo local de abonado, el cual lo conecta conla red pGblica. El laBo local est compuesto por dos alambres de cobre, de modotal que la Jpinc#aduraJ de la lnea es tcnicamente muy simple. 5omo contraste,una *eB que la seal llega a la 9ed /Gblica de +elefona 5onmutada, laintercepci-n requiere de experiencia tcnica y una in*ersi-n muc#o msimportante. 4in una completa protecci-n usted es muy *ulnerable a lasintercepciones y escuc#as telef-nicas.
/ara solucionar este tipo de probremas usted podra instalar una unidad deencriptaci-n en cada telfono... $as soluciones actuales estn limitadas atecnologas de encriptaci-n puntoapunto. Esto significa que solo se podr tener
una comunicaci-n segura cuando se instalen dispositi*os similares en ambosextremos de la lnea. Aun as, usted no puede realmente pretender tener unidadesde encriptaci-n dispersas entre todos sus posibles interlocutores telef-nicos o defax, por lo que esa no es una soluci-n muy prctica.
Existen en el mercado di*ersos productos que ofrecen una soluci-n un ejemplo deesto es 9ed4egura le brinda protecci-n aGn si su contraparte no tiene ningGn tipode dispositi*o de protecci-n instalado.
ue diseada para proteger las comunicaciones de *oB y fax cursadas a tra*s de
lneas anal-gicas de la red telef-nica pGblica, utiliBando un ele*ado ni*el decriptografa.
5rea un canal seguro entre el +erminal 9ed4egura &+94' y la 5entral 9ed4egura&594' ubicada en la red pGblica
&lamadas salientes 5uando el abonado realiBa una llamadasaliente, el +94 disca automticamente el nGmero del ser*idor mspr-ximo y establece un canal seguro a tra*s del cual serestablecida la comunicaci-n.&lamadas entrantes 5uando alguien desee establecer una llamadasegura con un abonado de 9ed 4egura, deber llamarlo a su nGmero
seguro especial, el cual enrutar la llamada al ser*idor y desde allen forma codificada al abonado. /or lo tanto, y sin importar si quienllama es o no abonado, la red de acceso est protegida en formapermanente.
7tiliBa una robusta y probada tecnologa de encriptaci-n de alto ni*el. $aunidad de encriptaci-n transmite las cla*es pGblicas con tecnologaElgamal, la que unida a la encriptaci-n con la tecnologa simtrica DE4
7/24/2019 Seguridad en Telecomunicaciones e Internet
21/25
ofrecen una protecci-n de la informaci-n que est extremadamente en la*anguardia de todo lo conocido.
4.( SEGURIDAD EN E"MAIL
/E! &pri*acy en#anced mail' se define con reglas que contemplan la integridad,autenticaci-n del origen del mensaje y soporta no repudiaci-n. /ar laconfidencialidad &opcional' requiere encripci-n, jerarqua de certificaci-n yser*icios de directorio. Esto puede *erse como una limitaci-n para su usoextendido. /E! es un estndar de Internet, est diseado dentro de laarquitectura 4!+/, usa conceptos del 0.C== de la I+7. %o est ligadanecesariamente a ningGn algoritmo de encripci-n pero aplica en criptografa della*e pGblica, en particular firma digital.
Debido a que /E! es de uso reducido, /L/ &/ret Lood /ri*acy' #a crecido endemanda. Ambos usan una combinaci-n de lla*e pGblica y mtodo simtrico. 4inembargo /L/, no requiere una autoridad certificadora, proporciona laconfidencialidad y firma digital s-lo con la encripci-n del arc#i*o. 7sa IDEA, parala encripci-n de datos, 94A para encriptar la lla*e pGblica y la firma digitalFadems usa !D4 para el compendio del mensaje en firma digital.
/;$_+I5A4 /ara asuntos formales de negocios y oficiales de la empresa /ara asuntos personales o complementarios &no crticos' 5ontrol de acceso y confidencialidad de mensajes Administraci-n y arc#i*o de mensajes
$I4+A DE 747A9I;4 7no a uno De uno a un grupo de usuarios o una organiBaci-n Lrupos de discusi-n ¢ral mailing list ser*er and broadcast to t#e ot#er
participants'. 74E%E+ groups.
/9;+;5;$;4 4!+/ &4imple !ail +ransport /rotocol'. Acepta mensajes de otros sistemas
y los almacena. /;/ &/ost ;ffice /rotocol'. /ermite a un cliente en /;/ bajar el email que
fue recibido en otro ser*idor de email. I!A/ & Internet !ail Access /rotocol'. Es ms con*eniente que /;/, pues
no requiere guardarse la sincrona entre las listas local y del ser*er para lalectura del email
A!E%A`A4
7/24/2019 Seguridad en Telecomunicaciones e Internet
22/25
DA%LE9;74 A++A58!E%+4 &por ejemplo: trojan executables, *irusinfected files, dangerous macro'
I!/E94;%A+I;% EAKE4D9;//I%L !AI$;!I%L. !uc#os Internet 4er*ice /ro*ider &I4/' proporcionan
cuentas gratutitas que posteriormente pueden usarse para lanBar ataques. 4/A!
E!AI$ AEL7A94. /olticas que deben definirse para el ni*el de protecci-ndeseado.
/re*enci-n a contenidos peligrosos /re*enci-n a modificaciones o suplantaciones de usuarios /re*enci-n a ea*esdropping
!E44ALE 8A%D$I%L 4O4+E! &!84'. De ;4I es el estndar x.C== para email,
proporciona seguridad protegiendo a los mensajes contra modificaciones ydi*ulgaci-n, adems autentifica la identidad de las partes. !48 contiene: !odelo funcional Estructura de mensaje 9eporte de liberaci-n
+A5A54 O 9ADI74
4on sistemas de autentificaci-n y control de acceso a una red *a conexi-nremotaM permiten redireccionar el usernameF y pass"ordF #acia un ser*idor
centraliBado. Este ser*idor decide el acceso de acuerdo a la base de datos delproducto o la tabla de pass"ords del 4istema ;perati*o que maneje.
CORREO ELECTR8NICO
El correo electr-nico es el ser*icio de en*o y recepci-n de mensajes entre losusuarios que conforman una red de computadoras. Estos mensajes llegan acualquier parte del mundo en segundos, a lo sumo en minutos. 5ada usuario tienesu propia direcci-n en la red, tpicamente en la forma JnombreWconexi-nJ.
El correo electr-nico es uno de los ser*icios ms importantes de su conexi-n alusar la red.
7na *eB que usted se acostumbra a utiliBar seriamente este medio decomunicaci-n es muy fcil depender de l. En unos meses decenas de amigos,familiares, colegas, etc., tendrn su direcci-n electr-nica al igual que usted la deellos.
7/24/2019 Seguridad en Telecomunicaciones e Internet
23/25
$a importancia de este medio de comunicaci-n est creciendo cada *eB ms ennuestros das, #asta el punto que dentro de *arios aos, segGn los expertos, elcorreo electr-nico ser el medio ms utiliBado despus del telfono paracomunicarse con otras personas.
Existen diferentes paquetes soportados JoficialmenteJ por 9edula con los cualesse puede en*iar y recibir mensajes.
;tra forma de utiliBar el correo electr-nico es bajo el ambiente (I%D;(4,iniciando pre*iamente una sesi-n de +E$%E+ ubicando el apuntador sobre elicono identificado con +E$%E+ &el cual no es estndar, sino que es creado', yluego pulsando con el rat-n, aparecer otra pantalla donde debe escoger la opci-nCONNECTy elegir el ser*idor al cual desea conectarse, luego debe introducir laidentificaci-n y cla*e respecti*a y as podr probar cualquiera de los tres paquetesmencionados descritos. Igualmente bajo (indo"s se encuentra el grupo deprogramas (I%PK+6%E+ y el EUDORA, los cuales permiten en*iar, recibir correosy acceder a grupos de noticias en un entorno de *entanas y botones grficosbastante agradable y sencillo. Entre los editores usados en los programas decorreo electr-nico figura el editor pico para el 5-ney el e0.
Esto es realmente el correo electr-nico: 7na #erramienta que le permite en*iarcorreo seguro a cualquier persona en toda la Internet.
4.1) SEGURIDAD EN FAX
Existen diferentes tipos de productos en el mercado que proporcionan seguridaden la transmisi-n de datos por fax, a continuaci-n presento un ejemplo:
El 54D ?3== #abilita la transmisi-n de alta seguridad y automtica de mensajesde fax. 7na *eB recibidos los mensajes, stos pueden ser almacenados conseguridad en memoria no *oltil opcional #asta que los receptores autoriBadosentren su c-digo de identificaci-n personal, /I% &/ersonal Identification %umber'.5ompacto y fcil de usar, el 54D ?3== opera con cualquier mquina de fax delLrupo III.
M3ne+ e ,03?e5on cada cla*e negociada, se produce una nue*a cla*e aleatoria en cadatransmisi-n de fax. Esta cla*e de sesi-n es Gnica a las dos partes encomunicaci-n. %inguna otra unidad puede generar esta cla*e.El 54D ?3== apoya tanto las redes de fax abiertas como las cerradas. $as redesde fax abiertas les permiten a dos personas cualquiera en el sistema 54D ?3==en*iar faxes con seguridad. %o se requiere ninguna relaci-n de cla*es pre*ia. $asredes abiertas son ideales para uso industrial donde un nGmero siemprecambiante de compaas necesitan comunicarse entre s.
7/24/2019 Seguridad en Telecomunicaciones e Internet
24/25
$as redes cerradas apoyan aplicaciones de gobierno y otras de alta seguridaddonde solamente a un nGmero especificado de personas les es permitido en*iar yrecibir informaci-n sensiti*a. El 54D ?3== aade una cla*e de red &pri*ada' alintercambio de cla*es negotiada para formar una red cerrada. 4olamente lasmquinas con la misma cla*e de red se pueden comunicar entre s y cada unidad
puede almacenar #asta 1= cla*es de red.M++ e en?+En?+ ,+n e6u*-3. En*iar en el modo de seguridad solamente.En?+ ,+n e6u*-3/De?+ 53*3 -50e. 7n usuario puede en*iar un faxnormal sin seguridad.En?+ 3u+-,+ ,+n e6u*-3/N+*30.Automticamente en*a con seguridada una unidad receptora 54D ?3==. 4i no, en*a en forma normal.M++ e *e,e5,-nRe,e5,-n ,+n e6u*-3. 9ecibe en el modo seguro solamente.Re,e5,-n 3u+-,3 ,+n e6u*-3/N+*30.Automticamente recibe en elmodo seguro si se est comunicando con otro 54D ?3==. 4i no, recibenormalmente.Independientemente del modo de +0690, el 54D ?3== imprime unencabeBamiento de estado, indicando si est en %ormal o 4eguro en todos losmensajes de fax recibidos.
CSD #&1)El 54D ?3H= tiene todo el poder de seguridad y de automatiBaci-n del 54D ?3==,pero con otro ni*el de protecci-n un uB-n de 5orreo Electr-nico con 4eguridad.El buB-n electr-nico pro*ee la seguridad interna eliminando el peligro de quemensajes de fax confidenciales queden a la *ista en la bandeja de salida de fax.El que en*ia y el que recibe el mensaje de fax encriptado pueden #acer que elmensaje de fax sea almacenado en forma encriptada en el buB-n de la unidadreceptora. $os mensajes almacenados son dados &descifrados e impresos'solamente despus de la entrada de un %Gmero de Identificaci-n /ersonal *lido,/I% &/ersonal Identification %umber'.El 54D ?3H= apoya #asta 2= buBones y H1= pginas de texto. +ambin estdisponible la adici-n de memoria de alta capacidad. $a memoria del buB-n estprotegida y es retenida en caso de interrupci-n en la energa elctrica.
C30-3+55 est dedicada a productos y ser*icios de calidad. +55 est certificada porI4; ==H. I4; ==H otorgado por +7K es el estndar ms riguroso para sistemasde calidad total en diseo6desarrollo, producci-n, instalaci-n y ser*icios.
7/24/2019 Seguridad en Telecomunicaciones e Internet
25/25